Северокорейская кибергруппа LABYRINTH CHOLLIMA раскололась на три специализированных подразделения

Этот вывод стал результатом масштабного пересмотра исторических данных и оспаривания прежних моделей атрибуции. Эксперты отмечают, что несмотря на оперативную автономию, все три подразделения продолжают использовать общие инструменты и инфраструктуру. Этот факт указывает на сохранение централизованной координации и распределения ресурсов в рамках северокорейского киберпространства.

От единого ядра к специализированным подразделениям

Истоки активности LABYRINTH CHOLLIMA лежат в фреймворке KorDLL, который использовался с 2009 по 2015 год. Этот репозиторий исходного кода стал основой для множества знаковых семейств вредоносного ПО. Со временем он эволюционировал в фреймворк Hawup, который, в свою очередь, породил три оперативных подгруппы в период с 2018 по 2020 год. Каждая из них пошла по своему пути развития, что выразилось в уникальных целях и методах атак.

GOLDEN CHOLLIMA: Постоянный источник дохода

Подразделение GOLDEN CHOLLIMA сосредоточено на целевых атаках против организаций в сфере криптовалют и финансовых технологий в экономически развитых регионах. К ним относятся США, Канада, Южная Корея, Индия и страны Западной Европы. Эта группа отличается более стабильным операционным темпом и совершает кражи меньшего масштаба. Аналитики полагают, что её задача - обеспечение базового потока доходов для режима КНДР.

Арсенал GOLDEN CHOLLIMA берёт начало с вредоносной программы Jeus, которая в 2018 году маскировалась под легитимное криптовалютное приложение. С тех пор группа значительно развила свои методы, активно используя облачные технологии. Например, в конце 2024 года хакеры скомпрометировали европейскую финтех-компанию через поддельные пакеты Python, распространяемые под видом предложений о работе. Получив доступ, они изучили конфигурации управления идентификацией и в конечном итоге перенаправили криптовалюту жертвы на контролируемые кошельки.

PRESSURE CHOLLIMA: Охотники за крупной добычей

В отличие от своей "сестры", подразделение PRESSURE CHOLLIMA ориентировано на самые громкие и высокодоходные кражи криптовалюты. Именно с его деятельностью связывают два крупнейших хищения цифровых активов в истории. Группа не привязана к конкретному региону и выбирает цели исключительно исходя из объёма их цифровых активов.

PRESSURE CHOLLIMA использует сложные, редко встречающиеся вредоносные программы и считается одним из самых технически продвинутых противников, связанных с КНДР. Её операции отделились от основного ядра LABYRINTH CHOLLIMA примерно в феврале 2019 года. В последних кампаниях группа применяла злонамеренные проекты на Node.js и Python для доставки специализированного вредоносного ПО.

Ядро LABYRINTH CHOLLIMA: Фокус на шпионаже

После выделения финансово ориентированных подразделений, основная группа LABYRINTH CHOLLIMA сузила свою деятельность до классического шпионажа. Её основные цели - компании в оборонной, промышленной и логистической сферах, особенно в Европе, США, Японии и Италии. В 2024 и 2025 годах группа демонстрировала высокую активность против европейских аэрокосмических корпораций и производителей оборонной продукции, используя уязвимости нулевого дня и фишинговые рассылки на тему трудоустройства.

Значительным этапом в развитии возможностей группы стало появление в 2022 году модуля FudModule. Этот инструмент использует прямые манипуляции с ядром операционной системы для достижения скрытности и эксплуатировал уязвимости нулевого дня в драйверах, браузере Chrome и Windows. Примечательно, что доступ к FudModule также имело подразделение GOLDEN CHOLLIMA, что подчёркивает обмен инструментами внутри экосистемы.

Общие корни и стратегическая эволюция

Аналитики CrowdStrike с высокой степенью уверенности оценивают, что три группы действуют как отдельные организационные единицы в рамках северокорейского кибераппарата. Однако их объединяет общее происхождение из фреймворков KorDLL и Hawup, что проявляется в поразительно схожем торговом ремесле. Все они используют компрометацию цепочки поставок, фишинговые кампании под видом HR-отделов, троянизированное легитимное программное обеспечение и злонамеренные пакеты Node.js и Python.

Сегментация LABYRINTH CHOLLIMA на специализированные подразделения представляет собой стратегическую эволюцию. Она позволяет режиму КНДР одновременно и более эффективно преследовать разные цели: от сбора разведданных до финансирования своих амбициозных военных программ. Финансовая мотивация для деятельности GOLDEN CHOLLIMA и PRESSURE CHOLLIMA, вероятно, будет только усиливаться на фоне международных санкций.

Эксперты рекомендуют организациям в криптовалютной, финтех, оборонной и логистической отраслях проявлять повышенную бдительность. Ключевыми векторами атак остаются фишинговые кампании на тему трудоустройства и троянизированное ПО, распространяемое через мессенджеры. Для защиты необходимо внедрять строгие политики проверки входящих сообщений, контролировать цепочки поставок программного обеспечения, обеспечивать безопасность облачных сред и идентификации, а также своевременно применять обновления безопасности.

SHA256

• 0518a163b90e7246a349440164d02d10f31d514a7e5cce842b6cf5b3a0cc1bfa
• 05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461
• 081804b491c70bfa63ecdbe9fd4618d3570706ad8b71dba13e234069648e5e48
• 1579347265f948f9646931335d57e7960fe65dd429394be84b4ae15bca73dfde
• 2110a6e89d98a626f846ec8deccbac057300d194933ae0cbf1ef4831a4cc829e
• 2ef212f433b722b734d80b41a2364a41ca0453dbfe3e6ec8b951eca795075a02
• 357c9daf6c4343286a9a85a27bc25defdc056877ce1be2943d2e8ede3bce022c
• 453d8bd3e2069bc50703eb4c5d278aad02304d4dc5d804ad2ec00b2343feb7a4
• 4fe3c853ab237005f7d62324535dd641e1e095d1615a416a9b39e042f136cf6b
• 512877c98fd83cd51bb287da4462b44f9d276d7ce51890f4ded1b915a6d2d5e1
• 56e51244e258c39293463c8cf02f5dddb085be90728fab147a60741cf014aa4d
• 58f2972c6a8fc743543f7b8c4df085c5cf2c6e674e5601e85eec60cd269cfb3c
• 666c50b8b772101b0e2e35ff1de52a278c2727027b54858e457571d296fec50b
• 73edc54abb3d6b8df6bd1e4a77c373314cbe99a660c8c6eea770673063f55503
• 7dee2bd4e317d12c9a2923d0531526822cfd37eabfd7aecc74258bb4f2d3a643
• 9ba02f8a985ec1a99ab7b78fa678f26c0273d91ae7cbe45b814e6775ec477598
• a61ecbe8a5372c85dcf5d077487f09d01e144128243793d2b97012440dcf106e
• a795964bc2be442f142f5aea9886ddfd297ec898815541be37f18ffeae02d32f
• b6995c31a7ee88392fc25fd6d1a3a7975b3cb4ec3a9a318c3fcfaaf89eb65ce1
• b9f6a9d4f837f5b8a5dc9987a91ba44bc7ae7f39aa692b5b21dba460f935a0ae
• cbd1634cf7c638f2faf5e3ec79137db6704ec9de8df798fc46aeeed38de3da9b
• ceccb2339088fa2d6337082704bbf67f84eeb0d0b60ce5ab0ab7e1824002fa4c
• d0cf9c1f87eac9b8879684a041dd6a2e1a0c15e185d4814a51adda19f9399a9b
• d2359630e84f59984ac7ddebdece9313f0c05f4a1e7db90abadfd86047c12dd6
• d2e743216d17e97c8d1913d376d46095b740015f26a3c62a05e286573721d26c
• dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156
• e0aa5ef3af26681a8c8b46d95656580779d0ff3c2fe531b95a59ee918686e443
• f749c7e84809ffc3939eaed06ad90e15b0e11375f98d7348c0aa1bf35d3f0b8e
• f9586fdf4e0a65b17ee32bc3c3f493a055409abde373720d594d27fd24adffa0
• fc885b323172106ab6f2f0cc77b609987384a38e3af41ad888d5389610d29daf
• fde50c3a373ebc2661e08c99c1cb50dc34efc022a3880c317ab5b84108ef83aa
• fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e
• ff32bc1c756d560d8a9815db458f438d63b1dcb7e9930ef5b8639a55fa7762c9